Sónia Lima, Jornal i online
O uso de tecnologia deepfake trouxe mais uma ameaça que as empresas não podem ignorar. Agora os cibercriminosos usam ferramentas sofisticas para manipular empregados e empresas. Usam narrativas quase perfeitas, recorrendo a vídeo conferências, onde empregados-chave e executivos seniores são recriados.
Os burlões e os amantes da fraude estão mais uma vez um passo à frente das autoridades, do setor empresarial e da sociedade em geral. O “novo” fenómeno não tem ainda tradução para português, pelo que vou utilizar o termo em inglês: deepfakes.
Deepfakes são o resultado dos avanços tecnológicos que, conjugadaos com a inteligência artificial (AI), têm como objetivo a geração de conteúdos falsos de forma extraordinariamente realista. Este fenómeno, no qual reconheço um toque de sofisticação, tem contribuindo para um aumento significativo de fraudes a nível global.
Portugal foi aparentemente até agora poupado a este novo e crescente fenómeno, mas talvez porque, mais uma vez, as estatísticas não estão preparadas para catalogar e rastrear os verdadeiros números.
O trabalho remoto, pese embora tenha trazido enormes vantagens para empregadores e empregados, veio ajudar a normalizar a existência de reuniões virtuais. Deepfakes são usados para criar reuniões virtuais falsas, onde caras e vozes de empregados e executivos seniores são recriados, com o objetivo de manipular funcionários para que estes compartilhem informações sensíveis ou efetuem transferências bancárias.
O acontecimento mais famoso do uso de deepfakes com o intuito de ludibriar empresas foi provavelmente o caso de uma grande corporação com sede em Hong Kong. De acordo com o Economic Times, estima-se que cerca de 25,6 milhões de dólares (cerca de 24, 6 milhões de euros) foram transferidos para os burlões. Um empregado do departamento financeiro foi contactado pelo pretenso Chief Financial Officer (CFO), que não se encontrava baseado no país, com o objetivo de o informar sobre a necessidade de efetuar transações financeiras de carácter estritamente confidencial. Num segundo momento, e apesar do ceticismo, foi convidado para uma falsa reunião remota, resultando em cerca de 15 transferências bancárias para os burlões.
O que podemos aprender deste caso? Existe sem dúvida a necessidade de repensar os atuais standards de proteção contra a utilização indevida de identidades nas empresas. Formações internas que apenas despertam para a possibilidade de emails ou chamadas telefónicas falsas, são claramente ineficazes quando estamos perante a fraudes com um elevado grau de sofisticação como deepfakes. Por outro lado, vamos continuar a insistir em procedimentos internos, quando existem, onde apenas é mandatório fazer uma chamada telefónica ao contacto habitual para verificar a autenticidade de um pedido de alteração de uma conta bancária nos dados mestre das empresas. Seguem algumas sugestões que podem elevar os atuais níveis de segurança nos procedimentos de contas a pagar e a receber nas empresas:
- Existe um processo claramente definido para as alterações de dados mestres sensíveis e para o sistema de autorizações de pagamentos? Como são tratadas e documentadas as exceções?
- Os empregados estão devidamente treinados e empoderados para poder levantar uma preocupação, independente do nível hierárquico do contacto que receberam?
- Os sistemas de informação internos estão munidos de ferramentas para prevenir
dee identificar potenciais ataques originados por AI?
Dicas práticas para nós, como empregados, identificarmos deepfakes:
- Problemas de sincronização: os olhos de uma pessoa manipulada por deepfake frequentemente apresentam falhas, piscando de forma estranha ou parecendo antinaturais
- Descoloração e inconsistências de iluminação e sombras: verifique se a pele, as cores ou as sombras parecem fora do normal ou não combinam com o ambiente.
- Proporções corporais estranhas: partes do corpo, como a cabeça ou as mãos, podem parecer desproporcionais em relação ao resto do corpo.
- Intuição: se alguma coisa lhe diz que algo estar errado, não ignore o seu sexto sentido e verifique outra vez se o que lhe está a ser pedido faz sentido.
O caminho relativamente à prevenção da fraude é, sem dúvida, a implementação de uma nova tolerância zero, tendo em conta que os avanços tecnológicos, aliados à nossa lenta capacidade de resposta geram terreno fértil para os burlões e para que casos como o anteriormente relatado se repitam. Os procedimentos internos das empresas e instituições em geraldevem munir-se de ferramentas adequadas que permitam combater de forma eficaz a fraude. Deepfake é uma realidade e uma ameaça às empresas!